凝逸反毒.修复NET.EXE感染的EXE+病毒分析+感染样本

凝逸反毒

凝逸反毒.修复NET.EXE感染的EXE+病毒分析+感染样本

感染引擎: 修复NET.EXE病毒
引擎作者: 凝逸
  病毒名: Win32.Downloader.af,NET.EXE病毒,AVP.EXE的变种,Backdoor.Win32.Prorat.19
    功能: 修复NET.EXE感染的EXE,有一些感染坏了,就修复不了!
    防御: 防御感染NET.EXE
样本提供: 凄凉山谷的风,还有一个中奖用户(忘了)
参于试马: 凝逸反毒_测评组:风华沉淀
                 (谢谢)


修复方法:
   [系统]
       ->进程
          把NET.EXE 暂停在结束
[专杀]
      ->修复NET.EXE
          先点[防御]可不让NET.EXE 运行
          再 修复所有exe

[扫描]
       ->扫描病毒
          把 c:\ 下的木马杀了

从开机 在把凝逸反毒在解出来,在扫一次
---
如有 ghost或一键还原,可用
[扫描]
       ->黑洞
          把 把木马杀了, 从开机时在还原系,
---


主页: http://hi.baidu.com/503165656
下载: http://ccc0.111n.com
      http://202.a.gg
BBS:  http://nyav.uu1001.com/
技术支持QQ:503165656
反病毒QQ群:31168828
(创建于:2007-01)



http://xs226.xs.to/xs226/08176/1614.jpg

http://baike.360.cn/3240965/4631827.html
http://hi.baidu.com/503165656/blog/item/5a31b28f9dc724ff513d9207.html
==========================================





=================病毒分析=========================
一、病毒标签：  
病毒名称：Backdoor.Win32.Prorat.19
病毒类型：后门
危害等级：高
文件长度：350764字节
感染系统：Win9x以上所有版本
开发工具：VC++6.0
加壳类型：UPX


二、病毒描述：   
  　　运行Backdoor.Win32.Prorat.19.exe后，病毒会把自己拷贝到％WINDIR％下命名为services.exe，

复制另一份到％system％目录下从命名为fservice.exe，另外在％system％目录下还会释放出net.exe和

net1.exe，还会释放出reginv.dll和winkey.dll。然后把自己修改注册表使自己启动。接着创建

fservice.exe进程后，还会在当前目录下释放出Backdoor.Win32.Prorat.19.bat删除样本自身，做完这些

后，病毒第一运行结束，退出。fservice.exe是一个过渡进程，它将在创建services.exe进程后退出，

services.exe会创建net.exe进程，net.exe在创建net1.exe进程后退出，net1.exe测试当前网络状态后退

出。Reginv.dll能隐藏自己修改的注册表项与注册表启动项，winkey.dll是ring3级的键盘记录器，它能

记下用户所有键盘记录，主进程是services.exe。它会打开本地5112、51100、5110端口等待被连接。

三、行为分析：   
  1、该病毒将自身释放到％WINDIR％目录下重命名为services.exe，同时释放net.exe、net1.exe、

reginv.dll、winkey.dll到％system％目录下。


2、将自身添加到注册表中保证自己被启动：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\policies\Explorer\Run
增加键：DirectX For Microsoft?Windows 键值C:\WINDOWS\
system32\fservice.exe

修改其他的注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon
增加键：Shell　 键值：Explorer.exe C:\WINDOWS\system32\fservice.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}
增加键：StubPath　键值：C:\WINDOWS\system\sservice.exe

3、 打开本地端口等待被连接


很多被绑架了的进程，而且调用的是%windir%\system32\net.exe，显然是病毒将原来的系统文件替换掉

了，同目录下还有个net1.exe，

凝逸反毒

感染样本
凝逸反毒可以修复NET.EXE感染的EXE
不知其他杀软都 跟进了吗?
都能修复吧
NET.EXE只是avp.exe 的小变种,不难处理

Starting the file scan:

Begin scan in 'E:\AV\nyfd感染样本.rar'
E:\AV\nyfd感染样本.rar
  [0] Archive type: RAR
  --> nyfd9.exeﾸ￐￈ﾾ
      [DETECTION] Contains suspicious code HEUR/Malware
      [NOTE]      The file was deleted!

挪威的冬天

信息        2008-04-27  19:17:03        您此次查毒清除了1个病毒                       
信息        2008-04-27  19:17:03        您此次查毒共查出1个病毒以及危险代码                       
信息        2008-04-27  19:17:03        您此次查毒共查了内存模块0个，磁盘引导扇区0个，文件2个                       
信息        2008-04-27  19:17:03        金山毒霸主程序查毒过程结束，查毒方式：命令行查毒                       
病毒        2008-04-27  19:17:03        D:\Desktop\nyfd¸Dè¾Ñù±¾.rar\nyfd9.exe感染        Win32.LwyLoadT.j.28802        清除成功       


解毒后 CRC a1a5024d

wangjay1980

清

BING126

McAfee        W32/Cekar

allinwonderi

[Scanning : C:\Documents and Settings\All Users\Documents\Test]


C:\Documents and Settings\All Users\Documents\Test\nyfd感染样本.rar<RAR>:nyfd9.exe感染 <- W32.Dr.Agent.Bsv : No action



Scanned objects : 2

Infected objects : 1

qigang

瑞星病毒查杀结果报告

清除病毒种类列表：

病毒： Win32.Downloader.af      

MAC 地址：00:11:5B:F3:6D:69

用户来源：互联网

软件版本：20.41.62